AI IDE 'カーソル'が致命的な脆弱性を発見...インストール契約にセキュリティの脆弱性

AIセキュリティに焦点を当てるスタートアップ企業Cyata Securityが最近発表したレポートによると、Cursor統合開発環境（IDE）に重大なリモートコード実行（RCE）脆弱性が発見され、代理を基盤としたAIシステムのサプライチェーンリスクが露呈しました。この脆弱性は、モデルコンテキストプロトコル（Model Context Protocol、MCP）のインストールプロセスを悪用し、攻撃者に開発者のシステム上で任意のコマンドを実行させることを可能にします。米国国立標準技術研究所（NIST）によりCVE-2025-64106として指定されたこの欠陥は、深刻度評価が8.8と高いです。

この問題は、CursorがAI開発の自動化ワークフローを最適化するために導入したMCPに起因します。このプロトコルは、IDE内のAIアシスタントが外部ツール、データベース、APIと接続できるように設計されていますが、そのインストール過程にはシステム権限レベルの接続が必要であり、新たな攻撃ベクトルを生み出しています。Cyataの研究者は、攻撃者がインストール中に人気の自動化ツールPlaywrightのポップアップを模倣し、ユーザーの信頼を得ながら悪意のあるコマンドを実行できることを発見しました。

この脆弱性の核心は、Cursorの深いリンク処理の仕組みにあります。この機能は、外部ツールをインストールするためにシステムコマンドを実行するよう設計されていますが、攻撃者はその視覚的な提示方法を操作し、安全でないコマンドを正常に見せかけることが可能です。これは従来のメモリオーバーフローなどのハッキング手法を利用したものではなく、インストールプロセス内の「信頼」に基づく論理構造を悪用したものです。

セキュリティ専門家は、代理を中心としたAI環境の普及に伴い、IDEのインストールプロセスやUIの信頼性、ツールの統合フローが単なる便利機能ではなく、守るべき安全な境界線となっていると警告しています。CyataのCEO、シャハル・タル（Shahar Tal）は次のように述べています。「AI IDEが実際の権限やツールに触れるようになると、インストールプロセス自体が主要な脅威経路となる。今回のケースは、攻撃者が信頼されたインストール過程を巧妙に操作する方法を示しています。」

Cyataは脆弱性を発見次第、Cursorと協力し、2日以内にセキュリティパッチを完成させ、代理を基盤としたAI統合に伴う新たなセキュリティリスクを継続的に監視しています。同スタートアップは昨年7月のシードラウンドで850万ドル（約122.4億円）の資金調達を成功させており、投資者にはTLV Partnersを含む複数のプライベート投資家が名を連ねています。

代理型AIの普及が進む中、プロトコルの信頼性とインストール時のユーザー体験は新たなセキュリティ変数となりつつあります。この脆弱性は、AIツールの設計において安全性を最優先しない場合に引き起こされる落とし穴を典型的に示しています。